Skip to main content
ONTAP Technical Reports
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Crittografia replica dei dati

Collaboratori netapp-dbagwell netapp-chrisgeb
PDF

Per integrare la crittografia dei dati a riposo, è possibile crittografare il traffico di replica dei dati ONTAP tra cluster utilizzando TLS con una chiave precondivisa per SnapMirror, SnapVault o FlexCache.

Durante la replica dei dati per il disaster recovery, il caching o il backup, è necessario proteggerli durante il trasporto via cavo da un cluster ONTAP a un altro. In questo modo si previene un attacco malware man-in-the-middle contro i dati sensibili mentre sono in movimento.

A partire da ONTAP 9.6, la crittografia del cluster peering fornisce il supporto per la crittografia TLS 1.2 AES-256 GCM per le funzionalità di replica dei dati ONTAP come SnapMirror, SnapVault e FlexCache. La crittografia viene configurata tramite una chiave pre-condivisa (PSK) tra due cluster peer.

A partire da ONTAP 9.15.1, la crittografia del cluster peering fornisce il supporto per la crittografia TLS 1.3 AES-256 GCM per le funzionalità di replica dei dati ONTAP come SnapMirror, SnapVault e FlexCache. La crittografia viene configurata tramite una chiave pre-condivisa (PSK) tra due cluster peer.

I clienti che utilizzano tecnologie come NSE, NVE e NAE per proteggere i dati inattivi possono anche utilizzare la crittografia dei dati end-to-end eseguendo l'aggiornamento a ONTAP 9.6 o versione successiva per utilizzare la crittografia del peering del cluster.

Il peering dei cluster crittografa tutti i dati tra i cluster peer. Ad esempio, quando si utilizza SnapMirror, tutte le informazioni di peering, così come tutte le relazioni SnapMirror tra il cluster di origine e il cluster di destinazione peer, vengono crittografate. Non è possibile inviare dati in chiaro tra cluster peer con la crittografia del peering dei cluster abilitata.

A partire da ONTAP 9.6, le nuove relazioni cluster-peer hanno la crittografia abilitata per impostazione predefinita. Per abilitare la crittografia sulle relazioni cluster-peer create prima di ONTAP 9.6, è necessario aggiornare sia il cluster di origine che il cluster di destinazione alla versione 9.6. Inoltre, è necessario utilizzare il cluster peer modify comando per modificare sia il cluster di origine che il cluster di destinazione affinché utilizzino la crittografia del cluster peering.

È possibile convertire una relazione peer esistente per utilizzare la crittografia del cluster peering in ONTAP 9.6, come mostrato nel seguente esempio:

On the destination cluster peer:

cluster2::> cluster peer modify cluster1 -auth-status-admin use-authentication -encryption-protocol-proposed tls-psk

When prompted enter a passphrase.

On the source cluster peer:

cluster1::> cluster peer modify cluster2 -auth-status-admin use-authentication -encryption-protocol-proposed tls-psk

When prompted enter the same passphrase you created in the previous step.